セキュリティ上の脆弱性やインシデントを報告する

グローバルな技術リーディングカンパニーとして、Barco はクライアントの皆様に安全なソリューションや製品、サービスをお届けしています。
当社では絶えずセキュリティ・プロセスの強化に取り組んでおり、セキュリティ研究者の皆様が責任をもってセキュリティ上の脆弱性やセキュリティ・インシデントを報告できる環境作りを進めています。

脆弱性を発見した場合速やかにご報告いただければ、当社の方でもできる限りすばやく措置を講じることが可能になります。当社の製品およびシステムの保護強化にご協力いただけますようお願いいたします。
以下のガイドライン (責任ある開示) に従うことが推奨されます。

以下を実行してください:

  • 発見情報を psirt@barco.com (Barco 製品セキュリティ・インシデント対応チーム) までメールでお知らせください。
  • この機密情報が意図せぬ人物の手に渡らないよう、PGP キー (下記参照) を使って発見情報を暗号化してください。
  • 発見した脆弱性または問題を利用しないでください。例:
    • 脆弱性を実証するのに必要以上のデータをダウンロードしたり、他人のデータを削除または修正したりしないでください (脆弱性がデータへの意図しないアクセスを提供する場合:アクセスするデータの量を効果的に概念を実証できるだけの量に制限する。テスト実施中に個人の特定が可能な情報 (PII)、個人医療情報 (PHI)、個人データ、クレジットカード情報、専有情報などのユーザーデータを見つけた場合、直ちにテストを中断し報告書を提出する)
    • 他人のプライバシーを侵害する、当社のシステムを破壊する、データを破損する、ユーザー環境を損なうことがないようにしてください
  • Barco 製品セキュリティ・インシデント対応チームの明示的な許可を求めるあるいは得ることなく、第三者と脆弱性に関する詳細情報を共有しないでください (裁量的開示)
  • 自分が所有していないシステムや第三者のアプリケーションをテストする場合は、明示的な許可を要求するようにしてください
  • ソーシャル・エンジニアリング、(分散型) サービス拒否攻撃やスパムを利用しないでください
  • 問題を再現するのに十分な情報を英語で提供してください。問題の早期解決につながります
  • システムによっては、影響を受けたシステムの URL または型式名、ファームウェアのバージョン、脆弱性についての説明があれば十分ですが、脆弱性が複雑であればより詳細な説明が必要となる場合があります
  • 恐喝に利用しないでください

当社では以下のことをお約束します:

  • いただいた報告書に対して、3 営業日以内に対応いたします
  • ご報告いただいた内容を精査し、ご回答予定日を 10 営業日以内にお知らせいたします
  • 上記の指示に従ってご対応いただいている場合、当社が当該報告書に関する法的措置を取ることはありません
  • いただいた報告書は厳重に取り扱い、個人データを許可なく第三者に渡すことはありません
  • 問題解決の進捗状況を逐一ご報告いたします
  • 報奨金の提供を検討いたします報奨金をご提供するかどうかは完全に Barco の裁量に任されています
  • 現在のところ、セキュリティ上の脆弱性に関する報告書に対して報奨金の提供は行っておりません。脆弱性を発見された方が責任ある開示を実施してくださることを確信していますただし、問題によっては例外的措置として完全に Barco の裁量で、今までの慣例を覆し報奨金を提供する場合もあります。
  • 特に断りがない限り、当社はリリースノートなどの公開通信で、脆弱性発見者としてお名前を使わせていただくことがあります
  • Barco ではできるだけ迅速にすべての問題を解決できるよう努めています。

    バージョン履歴

    2019 年 3 月 22 日 v1.0 - ベースとなるライセンス https://www.responsibledisclosure.nl/en/ (Creative Commons Attribution 3.0 Unported License) および https://disclose.io/ (Creative Commons Attribution 4.0 International License)
    2019 年 4 月 5 日 v1.1 - 報奨金の提供について明確化


    -----BEGIN PGP PUBLIC KEY BLOCK-----
    コメント:User-ID:Barco 製品セキュリティ・インシデント対応チーム <psirt@barco.com>
    コメント:有効期限:2024/03/11 12:00
    コメント:タイプ:4,096-ビット RSA
    コメント:指紋:AFC7393A37D3ACD187CC113E29AD862E8F3D013C


    mQINBFyGkM8BEADGNjDS4JPLHnn/nCjR4Cjr9BHgPnbnBKfNW7IMW+X3bcXVhtLL
    gb7GoMle0Z9C2nU8jlvornCA6NqQ1pixK+xQ1cIBlSz5G7kdspoX7QTYGW6y1xOh
    GC96vPEKX23YuNnRtEb7z849Q+jnKsVdlCZmdAbHBHJ/wfnb2/nMSeWAbUOpSIuq
    uExJN0gEuWXjvgmKP3NHuJbEw7HnJKpbkrtsttTv5D8L4/N2RtLnczplJ3igoAK8
    9e+LPxzIPkT0F9S+EFaN0IiCfssbJbP5hNqgdrfGgiiaj7wXRUx0gYl2MA6pOjjE
    mA9/lN+U2+EtDzrmOMsei/mahY7IaQ5s67bkSA+/xo+l9a65NTDmJJ4O+suITBO2
    OsE5gNOxqp4vVEsaz+K6X1fjsNpQnTZUxHb48KDzvq0CIKVuR38Fv18Guwga/Spe
    I0jKQdWFDtFWEpZBxbw21TeDrtRm2VQQerUi+o6LyLMtmzDKHGWb7sWVqmx5YcLs
    EOO/fdGsOsqp9nk1N65kgyuuc0BqvqMuhr8Ora6DBxdGJQfxRiHcFXXko4FqStnd
    X9BnWPIkkeZQqR9sZgRlI1CVEuy08PoWUxWlvRGQnK1edH3yk1qliTMjwhC850l8
    VWRp5H+ehkdewUyLh6hMxKWAAdRqMkoj+KIESgntXD7bPmlowualKi6ifwARAQAB
    tD9CYXJjbyBQcm9kdWN0IFNlY3VyaXR5IEluY2lkZW50IFJlc3BvbnNlIFRlYW0g
    PHBzaXJ0QGJhcmNvLmNvbT6JAlQEEwEIAD4WIQSvxzk6N9Os0YfMET4prYYujz0B
    PAUCXIaQzwIbIwUJCWhTYQULCQgHAgYVCgkICwIEFgIDAQIeAQIXgAAKCRAprYYu
    jz0BPNwtEACjXStrLYG/2z8BPwuRUuOAMw8yPb5FkhPbAstpYlJKnTtWoh4ksND5
    xGn7iNqLCkRZCdDIvJEzDoRDa4hYr5hO0QxjDmZeOnb+WgiAEKDsreoftMImERLN
    blDdaiH2K6cqMxli+oUm4m9vXKJ+p0tJar7ZQdQh+pmxVa+4bxGwnmX4MPtyjuNZ
    VOIKwesQljJJZVJ+YkxMu+3w/faXzBDZMxZtD/jZaMP6Y3RzgKy7H3QB6CTB5jxK
    rf3vpv7AdxXlVJ7gEcdiG+N8QN+Yqo5u077/rRfeYoxYKGqEb9KQag39sE0YV2hi
    LXoQubXX+IE/8VjKVr0Hm+++RDDFzaRSSa/fM2MgkzVy260YiRfKJcCP0ssWUu5T
    gQ9Z4En8/YyPy9ioUyAN0UEAPC387/b2WxWDRs5s+P3mf8yknVmbPJWciql5/nah
    mQd4aytpgSp10woH3TdWAuYnxWcAN803SXhoOI7wfZrSngmiC8mhpu/nermYJaKE
    SFIU2lDj/OXdFfeayONKAArlv7BBHzXeclCpTalztVHzNo+ojhIeZCjrX1NmGa1f
    HVMtwosvM+9n5AG8TmJ1m1Fkmeb3XABPT5Plb9rZEmbQ2bCmZcJM7vS5xhM1iVog
    wlqykVrQ6l0MWTryKsb3rjzzithP68ouURHxfZoHmnQ3VVzfS7IhWrkCDQRchpDP
    ARAAtNT9gGdD2HVCgiWUKo3l02VeGLga2veZGiEL0ipRGuYUhRUxTG3Vyqtn15tE
    PChWatnO+meOYG0eQ1reNKVDmIzEwUzJED0DlUcnfVm3Xz6q1KKyWneomgLDycAn
    T78BcT6L6j4jCbnIysmbAq0AMvTHJ2iVW/ztB36blP7i4qXbhsCEWZ8X1LFjAsxI
    pSlbnHXpqXXZFG+fVQ+Plap+w8vy7CkFTQWwUzgvBYj6TB2+5plUD36W4dWeq/FV
    i5EtpT/2Nr4N7JEa4s0JM8vSf6yofyFrzYJuqbeUzZ0Cnk4XHQvjmh8kPWlp7M5k
    a/6YByt93Ck/xIoMz7T3MTNR+E2nZ0vMojhb7//dRuhTfdvq/UwnLzh32mGOFqnD
    h6nepSsom2o4OXX8yS9WtOOlY3auvYmVFZdG6hXrJYyEcqE7c15uGnvwln1JJJCR
    SLJytPZ30+vs6cj8DPIHamFV0zjDtVTzftR3JRd294IN6gKkDEZ1Vr/lfdWKqRkf
    x9iSjE6DrNa2UJHbqxAYuCntBWRuZCTTccvta8PRihi9V7vbrfAlZUl65ypj6HT/
    rLSHCx8HR93lmVStYio3Jaky/zt/BMjYwbDZff2XQDFC2PGS/QyrXnXdi+FOpxmJ
    cUyEaDZAP4VSbIfELCtqOG4VuTK9jTNBHi68ES8McwNZQG8AEQEAAYkCPAQYAQgA
    JhYhBK/HOTo306zRh8wRPimthi6PPQE8BQJchpDPAhsMBQkJaFNhAAoJECmthi6P
    PQE8znoP/RAeDtRo0fZXpef/76AWBmTEzgZbZiS5j9HzCQMesN1otBn3nTrxbHQ2
    bLC91Ao0q3CrDbBo0mT1fY2YRdp3EPEzzczdQeDAk7O7ZoSv9/nXehogvLieMspH
    VsXBkM8Q0uv63jWcOaB64bVq29GH3uAlFCTspTL9y5I+EoGwM8rckusWrg2ohUVl
    PxZAH2D/sb2Ktc8nOIIBv5aQ+p1zmkSI1Mh2dlgpxX+PlJo+uPryBKbtKXko/xVA
    bK5jonolaEdKW+/6TG/37jG+8YUhJkZzX9T7fnHoNPSpJ+5tchatBtE/LUBcVMyB
    JlmhnkxoXbldBjz7QqUG9x27vGcuvNBT0XZYDi2HsFAYpKTAPSit9OeND7hg5CR3
    wg+0VomY1AASo0KCgN5L5hTnytFa9RJ5gCL3JsZTCzc83IcJ34RdMmo94Ol5ANQB
    +hf2FoK0Mm3u8EKJmQnWcR/cOJ7iUU94IAT+paIShhfOyYGr5BM5MSL07thHmsxI
    ov4SbFMO7XMGzl+wa9SvdKG1dwy0k/jzJWMjQb3e9fP9qKohestUV5Bl40FKpG6d
    TcgDu3Tsd7fVsx2nbljNCNAW+t5S/rQZ7Gz6xueblYIHdV/3nxm/eRPpzyWuYUpd
    S9eXFGAsvnkHVBIOAeKihXrx8DQ1+tU9paPQ5U4xF//RYmtbLqKE
    =pGAy
    -----END PGP PUBLIC KEY BLOCK-----